證書遷移準備工作:

成都創(chuàng)新互聯(lián)專注于興隆企業(yè)網(wǎng)站建設(shè),成都響應(yīng)式網(wǎng)站建設(shè)公司,成都做商城網(wǎng)站。興隆網(wǎng)站建設(shè)公司,為興隆等地區(qū)提供建站服務(wù)。全流程按需求定制開發(fā)，專業(yè)設(shè)計，全程項目跟蹤，成都創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務(wù)

1,備份CA模板列表:

Certutil -catemplates >c:\cabackup\catemplates.txt

2,記錄CA的簽名算法和CSP:

  Certutil -getreg ca\csp\* >c:\cabackup\csp.txt    

3,吊銷的證書發(fā)布有效期延長

4,備份CA數(shù)據(jù)庫和私鑰:

4.1,用PowerShell:

Backup-CARoleService –path

注:BackupDirectory指定創(chuàng)建備份文件的目錄。指定的值可以是相對路徑或絕對路徑。如果指定的目錄不存在，則創(chuàng)建該目錄。備份文件在名為Database的子目錄中創(chuàng)建。

4.2,用Certutil.exe

Net stop certsrv

Certutil -backupDB c:\cabackup\db //注:導(dǎo)入所指定的文件夾必須是空文件夾

Certutil -backupkey c:\cabackup       //注:輸入之后會要求輸入一個密碼以確保安全

5,備份CA注冊表設(shè)置

5.1,用regedit.exe

單擊“開始”、指向“運行”，然后鍵入 regedit 以打開注冊表編輯器。在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc 右鍵單擊“配置”，然后單擊“導(dǎo)出”。指定位置和文件名，然后單擊“保存”。這將創(chuàng)建包含源 CA 的 CA配置數(shù)據(jù)的注冊表文件。

5.2,使用Reg.exe備份CA注冊表設(shè)置

            打開命令提示符窗口

鍵入reg exportHKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration 

.reg并按Enter。注 : output file 就一個絕對路徑文件名將注冊表文件復(fù)制到可從目標(biāo)服務(wù)器訪問的位置; 例如，共享文件夾或可移動媒體。

6,備份CAPolicy.inf

在C:\windows文件夾下 (一般情況下沒有)

7,停止源CA服務(wù)器

8,在目標(biāo)服務(wù)器上還原數(shù)據(jù)

8.1,在新CA服務(wù)器上安裝CA證書頒機構(gòu)--->AD CS配置時必須導(dǎo)入源CA的私鑰.

8.2,還原數(shù)據(jù)庫

8.2.1,用PowerShell

Stop-service certsvc

Restore-CARoleService -path c:\cabackup\ -databaseonly -force

Start-service certsvc

8.2.2,用Certutil

Net stop certsrv

Certutil.exe -f -restoredb  c:\cabackup

Net start certsrv

8.3,還原CA注冊表設(shè)置

8.3.1,用reg.exe

在目標(biāo)CA上導(dǎo)入源CA注冊表備份

1.              以本地Administrators組成員的身份登錄到目標(biāo)服務(wù)器。

打開命令提示符窗口。

鍵入net stop certsvc并按Enter。

鍵入reg import  ，然后按Enter。 //注:Registry Settings Backup.reg為備份的注冊表文件位置

編輯CA注冊表設(shè)置

DBDirectory

DBLogDirectory

DBSystemDirectory

DBTempDirectory

單擊“開始”，在“搜索程序和文件”框中鍵入regedit.exe，然后按Enter以打開注冊表編輯器。

在控制臺樹中，找到密鑰HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ CertSvc \ Configuration，然后單擊“配置”。

在詳細信息窗格中，雙擊DBSessionCount。

單擊十六進制。在“數(shù)值數(shù)據(jù)”中，鍵入64，然后單擊“確定”。

驗證以下設(shè)置中指定的位置是否適用于目標(biāo)服務(wù)器，并根據(jù)需要進行更改以指示CA數(shù)據(jù)庫和日志文件的位置。

8.3.2,修改 CAServerName

將源CAServerName修改為新CA的CAServerName

8.4,還原證書模板列表

使用管理憑據(jù)登錄到目標(biāo)CA.

打開命令提示符窗口。

鍵入certutil -setcatemplates +  ，然后按Enter。 // 注:templatelist 為源CA導(dǎo)出的模板列表文件 catemlates.txt里面的文件名稱

certutil -setcatemplates + Administrator，User，DomainController

8.5,授予AIA和CDP容器權(quán)限(在DC上完成)

如果目標(biāo)服務(wù)器的名稱與源服務(wù)器不同，則必須為目標(biāo)服務(wù)器授予AD DS中源服務(wù)器的CDP和AIA容器的權(quán)限

8.5.1,以Enterprise Admins組成員的身份登錄到安裝

ActiveDirectory站點和服務(wù)管理單元的計算機。打開Active Directory站點和服務(wù)（dssite.msc）

8.5.2,對這兩個容器添加新CA計算機完全控制權(quán)限

(ps:如果在CDP擴展中使用文件// \ computer \ share語法將CRL發(fā)布到共享文件夾位置，則可能需要調(diào)整該共享文件夾的權(quán)限，以便目標(biāo)CA能夠?qū)懭朐撐募A地點。如果您在目標(biāo)服務(wù)器上托管CDP并使用包含別名的AIA或CDP路徑（例如，pki.contoso.com）作為目標(biāo)，則可能需要調(diào)整DNS記錄以使其指向正確的目標(biāo)IP地址。)